Vergangenes Wochenende wurde bekannt, dass Cyberkriminelle Zugriffstoken des Identitäts- und Zugangsverwaltungsdienstleisters Okta abgegriffen und missbraucht haben. Diese Angriffe betrafen auch Kunden des Unternehmens Okta. Der Passwortmanager 1Password, einer der Kunden, hat nun bestätigt, ebenfalls zu den Betroffenen zu gehören, gibt jedoch zeitgleich Entwarnung. Es gebe keine Hinweise darauf, dass Benutzerdaten je gefährdet gewesen seien.
Der Anbieter des Passwortmanagers 1Password gibt an, verdächtigte Aktivitäten in einer internen Okta-Instanz festgestellt zu haben. Aufgeflogen ist der Hacking-Angriff letztlich wegen einer Benachrichtigungs-E-Mail.
Beim Anbieter des Passwortmanagers 1Password (ein Online-Dienst zum Passwortmanagement, entwickelt vom kanadischen Unternehmen AgileBits Inc. mit Sitz in Toronto) kam es kürzlich wohl zu einem Sicherheitsvorfall, der im Zusammenhang mit dem jüngsten Cyberangriff auf Okta steht. Bei Okta handelt es sich um ein börsennotiertes Unternehmen für Identitäts- und Zugriffsmanagement mit Sitz in San Francisco. Auf der eigenen Website beschreibt Okta sich als „vertrauenswürdige Plattform zur Sicherung jeder Identität – von Kunden bis hin zu Ihren Mitarbeitern“.
Laut einem aktuellen Blogbeitrag von 1Password entdeckte das Unternehmen am 29. September verdächtige Aktivitäten in einer Okta-Instanz, die zur Verwaltung mitarbeiterorientierter Anwendungen genutzt werde. Dabei stellte das Unternehmen fest, dass das Vorgehen der Cyberkriminellen Ähnlichkeiten mit einer bereits bekannten Masche aufweise: 1Password nach sollen Super-Admin-Konten kompromittiert worden seien. Anschließend soll ein zweiter Identitätsanbieter eingerichtet worden sein, um sich als normaler Benutzer in der Organisation auszugeben.
Gemäß einem ausführlichen Bericht, dem „Okta Incident Report“, wurde die Untersuchung offenbar durch eine unerwartete E-Mail ausgelöst, die ein Mitglied des IT-Teams von 1Password erhalten haben soll. Diese E-Mail informierte den Mitarbeiter darüber, dass er angeblich einen Okta-Bericht mit einer Liste von Administratoren angefordert habe. Laut dem knapp zweiseitigen Bericht habe der Mitarbeiter jedoch nie eine solche Liste angefragt.
Facebook Daten geleakt!
Checken Sie kostenlos, ob Sie betroffen sind.
Bis zu 1.000€ Schadensersat
Wohl keine Benutzerdaten betroffen
Als Reaktion habe das interne Sicherheitsteam des Unternehmens 1Password umgehend Maßnahmen eingeleitet, um die verdächtigen Aktivitäten zu unterbinden. Dabei sollen sämtliche Anmeldedaten administrativer Nutzer geändert und strengere Regeln für die Verwendung von Multi-Faktor-Authentifizierungen eingeführt worden sein. Zudem sei die Anzahl der Super-Admins reduziert, Sitzungszeiten administrativer Nutzer verkürzt und die Okta-Konfiguration überarbeitet worden.
Während der durchgeführten Untersuchungen habe 1Password keine Anzeichen dafür finden können, dass Benutzerdaten oder andere sensible Systeme gefährdet waren – weder auf der Seite der Mitarbeiter noch auf der Seite der Benutzer. Seit dem Sicherheitsvorfall arbeite man mit Okta zusammen und fand heraus, dass das Einfallstor der Angreifer das gehackte Supportsystem von Okta gewesen sein soll.
Angriff auf den Okta-Support
Okta hatte bereits in der vergangenen Woche zugegeben, dass ein interner Sicherheitsvorfall festgestellt wurde, bei dem Angreifer Zugriff auf das Supportsystem des Identitäts-Management-Anbieters erlangt hatten. Jedoch wurde nicht angegeben, wie viele der mehr als 18.000 Kunden genau betroffen seien. Allerdings betonte das Unternehmen, es solle sich wohl um einen äußert geringen Anteil handeln. Das Problem scheint wohl in beim Okta-Support hochgeladenen HTTP-Archivdateien zu liegen, zu denen das Unternehmen seine Kunden routinemäßig auffordert, um Fehlerberichte besser nachvollziehen zu können. Diese Dateien enthalten mitunter auch sensible Daten wie Cookies und Sitzungs-Tokens, die eine Übernahme der jeweiligen Kundenkonten ermöglichen.
agr